Web-Kamera lässt sich nicht abstellen
 

Hallo Experten, ich hoffe sehr, dass man mir hier weiterhelfen kann!

Seit mittlerweile über zwei Wochen habe ich ziemlich viel Ärger mit meinem Laptop. Ich versuche, es möglichst kurz, aber vollständig zu schildern. Dabei hoffe ich, dass die Schilderung nicht zu lang geraten ist, aber ich habe nun einmal bereits einiges unternommen. Zum einen habe ich dieses Forum erst aktuell entdeckt, zum anderen steht bis heute nicht fest, ob die Probleme auf Schadsoftware zurückzuführen sind.

Es begann damit, dass ich zwei Anhänge öffnete (in einem geschützten Modus). Ich weiß nicht, ob in ihnen Malware verborgen war, ob ich mir solche anderweitig einfing bzw. ob die Probleme andere Ursachen haben. Jedenfalls poppten kurz darauf diverse Fenster mit Mitteilungen auf, was alles nicht mehr funktioniere, gefolgt von einer gleichen Menge Fenster mit der Mitteilung, nach Lösungen werde gesucht. Binnen Sekunden blinkten derart viele Fenster auf, dass es mir nicht möglich war, die Texte zu lesen bzw. mir den Inhalt der Mitteilungen zu merken.

Von da an bootete der Rechner nicht mehr. Sämtliche unter den F-Tasten abrufbare Möglichkeiten (Starten im geschützten Modus, mit oder ohne bestimmte Treiber etc.) funktionierten nicht. Auch eine Start-CD brachte keinen Erfolg. Gleichgültig, welche Tools ich ausprobierte, stets versuchte der Rechner, Windows zu starten (auch wenn dies aufgrund der Eingabe nicht hätte erfolgen dürfen), stets endete das Ganze erst auf einer schwarzen Seite mit weißem Pfeil und nach langer, langer Zeit erschien der Vista-Hintergrund in Schwarz-Weiß als Endstation.

Vom Kaspersky-Support erhielt ich einen Link, um die Kaspersky Rescue Disk 10.0 herunterzuladen. Diese zeigte mir meine Dateien, die ich auf der zweiten Partition abgespeichert habe, während die erste Partition, auf der sich die Programme befinden, nicht zu sehen war.

Eine Vista-Programm-CD hatte ich zunächst nicht, da das Programm (Home Premium) auf meinem Rechner vorinstalliert war. Aber ich besitze natürlich einen Product-Key und erhielt schließlich eine CD von einer Bekannten (es handelt sich um eine Sicherungskopie von Vista aus ihrem Unternehmen, von der aus Vista nur mit Product-Key installiert werden kann).

Nach über einer halben Stunde Wartezeit, in der es so aussah, als sei wiederum nur derselbe, vergebliche Ablauf wie bei der Start-CD und den anderen Boot-Varianten zu erwarten, erschien endlich ein Inhaltsverzeichnis, das mir die Auswahl bot, Windows zu reparieren oder neu zu installieren. Sämtliche Reparatur-Tools schlugen jedoch fehl. Irgendwann erhielt ich die Meldung, die Festplatte habe keine Partitionen, was vermutlich der Grund dafür gewesen sein dürfte. Auch erfuhr ich später, dass Reparaturversuche einer Datenrettung abträglich sein können. Für die Zukunft ist dies gut zu wissen.

Internetrecherchen bezüglich verschwundener Partitionen brachten mich zu dem Programm Testdisk. Ich fand sogar eine gute Anleitung dazu. Testdisk ist ja in der Lage, auch gelöschte Partitionen und Dateien zur Not sogar anhand kleiner Reste wiederzufinden. Das Programm zeigte beide Partitionen scheinbar vollständig an und ich konnte sie damit wieder auffindbar machen.

Dennoch versuchte ich erst gar nicht, Windows zu booten, sondern startete mit der Kaspersky Rescue-CD. Auch dort waren jetzt beide Partitionen mit ihren Dateien und Programmen sichtbar und ich konnte sie auf Viren etc. untersuchen lassen. Schadsoftware wurde nicht gefunden, was zunächst einmal vielleicht eher für einen Software- oder Hardware-Fehler als Ursache spricht.

Auch konnte ich sowohl via Testdisk als auch via Rescue-CD einige Daten, deren aktuellen Stand ich nicht auf einer Sicherung hatte, kopieren. Dabei fiel mir auf, dass der Ordner mit meinem Benutzernamen als völlig leerer Ordner erschien. Standardmäßig speichert Windows dort ja alle Dateien, die man erstellt, alle E-Mails, Favoriten etc. Nur aufgrund von Überlegungen, die sich später als hinfällig erwiesen, hatte ich es nach Kauf des Laptops vorgezogen, die Programme auf der ersten und alle meine Dateien auf der zweiten Partition zu speichern. Einmal so eingerichtet, behielt ich diese Teilung bei.

Normalerweise also hätte sich nun herausgestellt, dass zwar alle Programmordner vollständig erschienen, aber sämtliche persönlich erstellten Dateien verschwunden oder zerschnetzelt oder warum auch immer nicht einmal mehr via Testdisk aufzeigbar waren.

Lange freilich hielt die Erleichterung über Sicherungskopien und noch vorhandene Daten auf der zweiten Partition nicht an. Denn erst jetzt fand ich heraus, wo meine E-Mails abgespeichert wurden. Sie waren im Benutzerordner an ziemlich tiefliegender Stelle im „Suchbaum“ und sind somit hinüber und zu meinem Entsetzen auch nicht auf den Sicherungskopien. Schriftverkehr von mehreren Jahren. Ich kann nicht mehr begreifen, warum ich nicht schon lange sichergestellt habe, dass die E-Mails mitkopiert werden. Aber hinterher ist man immer schlauer.

Wiederum ließ ich Testdisk nach Daten suchen, diesmal auch mit der tiefergehenden Suche. Als Ergebnis wurden nunmehr die einzelnen Dateien der ersten Partition gar nicht mehr angezeigt. Fehlermeldung: "Can't open filesystem, filesystem seems damaged".

Da mittlerweile eine Reihe von Tagen ins Land gegangen war und ich den Rechner dringendst brauchte, entschied ich mich schließlich, die Partition zu löschen, eine neue zu erstellen und auf diese alle Programme neu aufzuladen. Das ist inzwischen zum Teil erfolgt. (Mit Testdisk lässt sich auch die alte Partition wieder aufzeigen.)

Jetzt aber fiel mir eine weitere Merkwürdigkeit auf: Sobald Windows geladen ist, schaltet sich die Web-Kamera an und lässt sich nicht mehr ausschalten. Auch das Deaktivieren des Treibers interessiert die offenbar lustig weiterlaufende Kamera nicht, jedenfalls leuchtet unermüdlich das Lämpchen – so lange, bis ich den Rechner herunterfahre.

Ob dieses Phänomen bereits vor dem Totalabsturz gegeben war, vermag ich nicht zu sagen, da ich zuvor die Kamera überklebt hatte (wobei sich das Lämpchen ebenfalls unter dem Klebestreifen befand). Es war eine Vorsichtsmaßnahme, da ich sie einmal versehentlich angeschaltet hatte. Ich sah das zwar wenige Augenblicke später, wollte versehentliche Aufnahmen für die Zukunft aber verhindern. Bald darauf löschte ich – weil ich die Kamera nicht brauchte – sogar den Treiber, vergaß jedoch, den Klebestreifen wieder abzuziehen, der schön unauffällig Schwarz auf Schwarz am Laptop-Rande pappte. Nun deaktivierte ich den Treiber nach der Neuinstallation von Windows und zog den eigentlich überflüssigen Klebestreifen ab, wo mich das blaue Lämpchen anstrahlte.

Welchen Grund – außer Schadsoftware - kann es ansonsten dafür geben, dass offenbar die Kamera bei deaktiviertem Treiber läuft und sich nicht abschalten lässt?

Kann es sein, dass es sich dabei doch um einen Trojaner handelt, der vielleicht auch auf die unter Benutzernamen gespeicherten Daten zugriff?

Überprüfungen mit Kaspersky Internet Security (ständig aktualisiert) ergeben allerdings nichts.

Eine Überprüfung mit Malwarebytes Anti-Malware ergab lediglich eine schädliche Webseite unter den Favoriten - und zwar ausgerechnet die Seite eines Programms, das in Online-Computer-Zeitungen für die Virenuntersuchung von einzelnen Dateien empfohlen wird: Virus Total. Diese Webseite kann jedoch nichts mit der laufenden Kamera zu tun haben, da das Phänomen bereits bestand, bevor ich die Seite erstmalig aufrief.

Besteht überhaupt die Möglichkeit, dass eine Schadsoftware sowohl von KIS als auch von Malwarebytes nicht gefunden wird?

Über Hilfe und Ratschläge freue ich mich sehr!

Nun noch die gewünschten Anhänge:

OTL logfile created on: 18.07.2012 21:38:40 - Run 1
OTL by OldTimer - Version 3.2.54.0 Folder = C:\Downloads\Trojaner-Board
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.19272)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,87 Gb Total Physical Memory | 2,06 Gb Available Physical Memory | 72,00% Memory free
5,94 Gb Paging File | 5,04 Gb Available in Paging File | 84,94% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 101,00 Gb Total Space | 74,55 Gb Free Space | 73,82% Space Free | Partition Type: NTFS
Drive D: | 131,89 Gb Total Space | 128,57 Gb Free Space | 97,49% Space Free | Partition Type: NTFS

Computer Name: ### | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2012.07.18 21:09:49 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Downloads\Trojaner-Board\OTL.exe
PRC - [2012.07.12 12:04:10 | 000,162,408 | ---- | M] (Geek Software GmbH) -- C:\Programme\PDF24\pdf24.exe
PRC - [2012.07.03 13:46:44 | 000,655,944 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2012.04.04 07:53:50 | 000,063,928 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2010.12.08 10:45:16 | 000,253,264 | ---- | M] () -- C:\Programme\1&1 Surf-Stick\AssistantServices.exe
PRC - [2010.12.08 10:45:16 | 000,139,088 | ---- | M] () -- C:\Programme\1&1 Surf-Stick\UIExec.exe
PRC - [2010.11.02 22:06:06 | 000,365,336 | ---- | M] (Kaspersky Lab ZAO) -- C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
PRC - [2009.04.10 23:27:38 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2009.04.10 23:27:30 | 000,069,120 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conime.exe
PRC - [2008.01.18 23:38:40 | 001,008,184 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Defender\MSASCui.exe


========== Modules (No Company Name) ==========

MOD - [2010.12.08 10:45:16 | 000,139,088 | ---- | M] () -- C:\Programme\1&1 Surf-Stick\UIExec.exe


========== Win32 Services (SafeList) ==========

SRV - [2012.07.03 13:46:44 | 000,655,944 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012.04.04 07:53:50 | 000,063,928 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2010.12.08 10:45:16 | 000,253,264 | ---- | M] () [Auto | Running] -- C:\Programme\1&1 Surf-Stick\AssistantServices.exe -- (UI Assistant Service)
SRV - [2010.11.02 22:06:06 | 000,365,336 | ---- | M] (Kaspersky Lab ZAO) [Auto | Running] -- C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe -- (AVP)
SRV - [2008.01.18 23:38:26 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2008.01.18 23:33:40 | 000,896,512 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
DRV - [2012.07.03 13:46:44 | 000,022,344 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\System32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2010.10.01 10:37:42 | 000,488,536 | ---- | M] (Kaspersky Lab) [File_System | System | Running] -- C:\Windows\System32\drivers\klif.sys -- (KLIF)
DRV - [2010.06.23 09:21:32 | 000,259,176 | ---- | M] (Realtek ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Rtlh86.sys -- (RTL8169)
DRV - [2010.06.09 16:43:52 | 000,011,352 | ---- | M] (Kaspersky Lab ZAO) [Kernel | System | Running] -- C:\Windows\System32\drivers\kl2.sys -- (kl2)
DRV - [2010.06.09 16:43:50 | 000,132,184 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\kl1.sys -- (KL1)
DRV - [2010.04.22 18:07:34 | 000,022,104 | ---- | M] (Kaspersky Lab ZAO) [Kernel | System | Running] -- C:\Windows\System32\drivers\klim6.sys -- (KLIM6)
DRV - [2010.03.31 06:59:24 | 000,350,720 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\RTL8187B.sys -- (RTL8187B)
DRV - [2009.11.02 19:27:16 | 000,019,984 | ---- | M] (Kaspersky Lab) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\klmouflt.sys -- (klmouflt)
DRV - [2009.10.29 19:28:24 | 000,105,088 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ZTEusbser6k.sys -- (ZTEusbser6k)
DRV - [2009.10.29 19:28:24 | 000,105,088 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ZTEusbnmea.sys -- (ZTEusbnmea)
DRV - [2009.10.29 19:28:24 | 000,105,088 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)
DRV - [2009.10.29 19:28:24 | 000,009,216 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\massfilter.sys -- (massfilter)
DRV - [2009.06.30 10:37:16 | 000,028,552 | ---- | M] (Panda Security, S.L.) [File_System | Boot | Running] -- C:\Windows\System32\drivers\pavboot.sys -- (pavboot)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0


========== FireFox ==========

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pandasecurity.com/activescan: C:\Program Files\Panda Security\ActiveScan 2.0\npwrapper.dll (Panda Security, S.L.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\KavAntiBanner@Kaspersky.ru: C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\KavAntiBanner@kaspersky.ru [2012.07.14 10:17:51 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\linkfilter@kaspersky.ru: C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\linkfilter@kaspersky.ru [2012.07.14 01:35:24 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\virtualKeyboard@kaspersky.ru: C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\virtualKeyboard@kaspersky.ru [2012.07.14 01:35:24 | 000,000,000 | ---D | M]


O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O2 - BHO: (IEVkbdBHO Class) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\ievkbd.dll (Kaspersky Lab ZAO)
O2 - BHO: (FilterBHO Class) - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll (Kaspersky Lab ZAO)
O4 - HKLM..\Run: [AVP] C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe (Kaspersky Lab ZAO)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [PDFPrint] C:\Programme\PDF24\pdf24.exe (Geek Software GmbH)
O4 - HKLM..\Run: [UIExec] C:\Program Files\1&1 Surf-Stick\UIExec.exe ()
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKCU..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\ie_banner_deny.htm ()
O9 - Extra Button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll (Kaspersky Lab ZAO)
O9 - Extra Button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll (Kaspersky Lab ZAO)
O13 - gopher Prefix: missing
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} hxxp://acs.pandasoftware.com/activescan/cabs/as2stubie.cab (ActiveScan 2.0 Installer Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{FDF83AD2-33E6-4DE3-B28C-983929226F4E}: DhcpNameServer = 192.168.178.1
O20 - AppInit_DLLs: (C:\PROGRA~1\KASPER~2\KASPER~1\mzvkbd3.dll) - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\mzvkbd3.dll (Kaspersky Lab ZAO)
O20 - AppInit_DLLs: (C:\PROGRA~1\KASPER~2\KASPER~1\kloehk.dll) - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\kloehk.dll (Kaspersky Lab ZAO)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\klogon: DllName - (C:\Windows\system32\klogon.dll) - C:\Windows\System32\klogon.dll (Kaspersky Lab ZAO)
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\img24.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\img24.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2012.07.10 19:09:26 | 000,000,113 | ---- | M] () - D:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\H\Shell - "" = AutoRun
O33 - MountPoints2\H\Shell\AutoRun\command - "" = H:\Install.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

========== Files/Folders - Created Within 30 Days ==========

[2012.07.18 09:04:27 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\ScreenCapturePrint
[2012.07.18 08:55:28 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDF24
[2012.07.17 17:53:28 | 000,000,000 | ---D | C] -- C:\Program Files\Windows Portable Devices
[2012.07.17 13:44:45 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Malwarebytes
[2012.07.17 13:44:16 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.07.17 13:44:15 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.07.17 13:44:13 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012.07.17 13:44:13 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2012.07.17 12:16:00 | 000,000,000 | ---D | C] -- C:\Windows\Minidump
[2012.07.17 12:08:08 | 000,000,000 | ---D | C] -- C:\Windows\System32\WindowsPowerShell
[2012.07.15 23:27:01 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\DonationCoder
[2012.07.15 23:27:00 | 000,000,000 | ---D | C] -- C:\Users\***\Documents\DonationCoder
[2012.07.15 20:57:47 | 000,000,000 | ---D | C] -- C:\Program Files\Windows Live
[2012.07.14 15:54:28 | 000,028,552 | ---- | C] (Panda Security, S.L.) -- C:\Windows\System32\drivers\pavboot.sys
[2012.07.14 15:54:20 | 000,000,000 | ---D | C] -- C:\Program Files\Panda Security
[2012.07.13 22:22:40 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security 2011
[2012.07.13 22:20:28 | 000,000,000 | ---D | C] -- C:\ProgramData\Kaspersky Lab
[2012.07.13 22:20:28 | 000,000,000 | ---D | C] -- C:\Program Files\Kaspersky Lab
[2012.07.13 19:43:48 | 000,105,088 | ---- | C] (ZTE Incorporated) -- C:\Windows\System32\drivers\ZTEusbser6k.sys
[2012.07.13 19:43:48 | 000,105,088 | ---- | C] (ZTE Incorporated) -- C:\Windows\System32\drivers\ZTEusbnmea.sys
[2012.07.13 19:43:48 | 000,105,088 | ---- | C] (ZTE Incorporated) -- C:\Windows\System32\drivers\ZTEusbmdm6k.sys
[2012.07.13 19:43:48 | 000,009,216 | ---- | C] (ZTE Incorporated) -- C:\Windows\System32\drivers\massfilter.sys
[2012.07.13 19:43:02 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1&1 Surf-Stick
[2012.07.13 19:43:01 | 000,000,000 | -H-D | C] -- C:\Program Files\InstallShield Installation Information
[2012.07.13 19:43:01 | 000,000,000 | ---D | C] -- C:\Program Files\1&1 Surf-Stick
[2012.07.13 19:19:45 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\OpenOffice.org
[2012.07.13 19:18:22 | 000,000,000 | --SD | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 3.4
[2012.07.13 19:17:47 | 000,000,000 | ---D | C] -- C:\Program Files\OpenOffice.org 3
[2012.07.13 16:26:39 | 000,000,000 | ---D | C] -- C:\Windows\System32\eu-ES
[2012.07.13 16:26:39 | 000,000,000 | ---D | C] -- C:\Windows\System32\ca-ES
[2012.07.13 16:26:35 | 000,000,000 | ---D | C] -- C:\Windows\System32\vi-VN
[2012.07.13 16:18:03 | 000,000,000 | ---D | C] -- C:\Windows\System32\SPReview
[2012.07.13 15:58:09 | 000,000,000 | ---D | C] -- C:\Windows\System32\EventProviders
[2012.07.13 14:25:06 | 000,000,000 | ---D | C] -- C:\PerfLogs
[2012.07.13 06:55:51 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Macromedia
[2012.07.12 20:44:46 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ScreenshotCaptor
[2012.07.12 20:44:41 | 000,000,000 | ---D | C] -- C:\Program Files\ScreenshotCaptor
[2012.07.12 20:44:41 | 000,000,000 | ---D | C] -- C:\ProgramData\DonationCoder
[2012.07.12 20:39:52 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Adobe
[2012.07.12 20:39:52 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\Adobe
[2012.07.12 20:37:36 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Adobe
[2012.07.12 20:37:36 | 000,000,000 | ---D | C] -- C:\Program Files\Adobe
[2012.07.12 20:36:31 | 000,000,000 | ---D | C] -- C:\ProgramData\Adobe
[2012.07.12 20:35:39 | 000,000,000 | ---D | C] -- C:\Windows\System32\Macromed
[2012.07.12 20:33:13 | 000,000,000 | ---D | C] -- C:\Program Files\PDF24
[2012.07.12 20:31:02 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip
[2012.07.12 20:31:01 | 000,000,000 | ---D | C] -- C:\Program Files\7-Zip
[2012.07.12 17:34:16 | 000,000,000 | ---D | C] -- C:\Downloads
[2012.07.12 17:27:17 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0
[2012.07.11 07:44:00 | 000,000,000 | ---D | C] -- C:\Program Files\Intel
[2012.07.11 07:43:58 | 000,000,000 | ---D | C] -- C:\Intel
[2012.07.10 23:39:12 | 000,000,000 | ---D | C] -- C:\UserData
[2012.07.10 19:59:50 | 000,000,000 | ---D | C] -- C:\Windows\System32\SupportAppCB
[2012.07.10 18:53:21 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\MigWiz
[2012.07.10 18:52:55 | 000,000,000 | ---D | C] -- C:\Windows\Panther
[2012.07.10 18:52:40 | 000,000,000 | -HSD | C] -- C:\Boot
[2012.07.10 18:35:45 | 000,000,000 | ---D | C] -- C:\Program Files\Kaspersky Lab Setup Files
[2012.07.10 18:33:46 | 000,000,000 | -HSD | C] -- C:\Windows\Installer
[2012.07.10 18:18:57 | 000,000,000 | ---D | C] -- C:\Program Files\Windows Mail - Kopie
[2012.07.10 18:06:20 | 000,000,000 | R--D | C] -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
[2012.07.10 18:06:20 | 000,000,000 | R--D | C] -- C:\Users\***\Searches
[2012.07.10 18:06:20 | 000,000,000 | R--D | C] -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
[2012.07.10 18:06:11 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Identities
[2012.07.10 18:06:10 | 000,000,000 | R--D | C] -- C:\Users\***\Contacts
[2012.07.10 18:06:09 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\VirtualStore
[2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Vorlagen
[2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\AppData\Local\Verlauf
[2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\AppData\Local\Temporary Internet Files
[2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Startmenü
[2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\SendTo
[2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Recent
[2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Netzwerkumgebung
[2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Lokale Einstellungen
[2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Documents\Eigene Videos
[2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Documents\Eigene Musik
[2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Eigene Dateien
[2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Documents\Eigene Bilder
[2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Druckumgebung
[2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Cookies
[2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\AppData\Local\Anwendungsdaten
[2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Anwendungsdaten
[2012.07.10 18:06:05 | 000,000,000 | --SD | C] -- C:\Users\***\AppData\Roaming\Microsoft
[2012.07.10 18:06:05 | 000,000,000 | R--D | C] -- C:\Users\***\Videos
[2012.07.10 18:06:05 | 000,000,000 | R--D | C] -- C:\Users\***\Saved Games
[2012.07.10 18:06:05 | 000,000,000 | R--D | C] -- C:\Users\***\Pictures
[2012.07.10 18:06:05 | 000,000,000 | R--D | C] -- C:\Users\***\Music
[2012.07.10 18:06:05 | 000,000,000 | R--D | C] -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance
[2012.07.10 18:06:05 | 000,000,000 | R--D | C] -- C:\Users\***\Links
[2012.07.10 18:06:05 | 000,000,000 | R--D | C] -- C:\Users\***\Favorites
[2012.07.10 18:06:05 | 000,000,000 | R--D | C] -- C:\Users\***\Downloads
[2012.07.10 18:06:05 | 000,000,000 | R--D | C] -- C:\Users\***\Documents
[2012.07.10 18:06:05 | 000,000,000 | R--D | C] -- C:\Users\***\Desktop
[2012.07.10 18:06:05 | 000,000,000 | R--D | C] -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories
[2012.07.10 18:06:05 | 000,000,000 | -H-D | C] -- C:\Users\***\AppData
[2012.07.10 18:06:05 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\Temp
[2012.07.10 18:06:05 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\Microsoft
[2012.07.10 18:06:05 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Media Center Programs
[2012.07.10 18:04:01 | 000,000,000 | -HSD | C] -- C:\ProgramData\Vorlagen
[2012.07.10 18:04:01 | 000,000,000 | -HSD | C] -- C:\ProgramData\Startmenü
[2012.07.10 18:04:01 | 000,000,000 | -HSD | C] -- C:\Programme
[2012.07.10 18:04:01 | 000,000,000 | -HSD | C] -- C:\Program Files\Gemeinsame Dateien
[2012.07.10 18:04:01 | 000,000,000 | -HSD | C] -- C:\ProgramData\Favoriten
[2012.07.10 18:04:01 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Videos
[2012.07.10 18:04:01 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Musik
[2012.07.10 18:04:01 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Bilder
[2012.07.10 18:04:01 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen
[2012.07.10 18:04:01 | 000,000,000 | -HSD | C] -- C:\ProgramData\Dokumente
[2012.07.10 18:04:01 | 000,000,000 | -HSD | C] -- C:\ProgramData\Anwendungsdaten
[2012.07.10 17:57:11 | 000,000,000 | ---D | C] -- C:\Windows\SoftwareDistribution
[2012.07.10 17:56:09 | 000,000,000 | ---D | C] -- C:\Windows\System32\catroot2
[2012.07.10 17:55:55 | 000,000,000 | ---D | C] -- C:\Windows\Debug
[2012.07.10 17:54:26 | 000,000,000 | ---D | C] -- C:\Windows\Prefetch
[2012.07.10 17:54:14 | 000,000,000 | -HSD | C] -- C:\System Volume Information

========== Files - Modified Within 30 Days ==========

[2012.07.18 21:31:51 | 000,000,000 | ---- | M] () -- C:\Users\***\defogger_reenable
[2012.07.18 21:30:43 | 000,618,442 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.07.18 21:30:43 | 000,587,178 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.07.18 21:30:43 | 000,122,648 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.07.18 21:30:43 | 000,101,250 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.07.18 21:24:27 | 000,004,848 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2012.07.18 21:24:27 | 000,004,848 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2012.07.18 21:24:18 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.07.18 13:07:29 | 000,000,428 | ---- | M] () -- C:\Users\***\Desktop\Verein - Verknüpfung.lnk
[2012.07.18 13:03:40 | 000,000,279 | ---- | M] () -- C:\Users\***\Desktop\DATA (D) - Verknüpfung.lnk
[2012.07.18 08:55:29 | 000,001,638 | ---- | M] () -- C:\Users\Public\Desktop\PDF24 Fax.lnk
[2012.07.18 08:55:28 | 000,001,653 | ---- | M] () -- C:\Users\Public\Desktop\PDF24 Editor.lnk
[2012.07.18 07:01:04 | 000,000,058 | ---- | M] () -- C:\Users\***\AppData\Local\DonationCoder_ScreenshotCaptor_InstallInfo.dat
[2012.07.17 17:51:56 | 000,000,000 | -H-- | M] () -- C:\Windows\System32\drivers\Msft_User_WpdFs_01_07_00.Wdf
[2012.07.17 13:44:16 | 000,000,906 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2012.07.17 12:28:21 | 000,000,680 | ---- | M] () -- C:\Users\***\AppData\Local\d3d9caps.dat
[2012.07.17 12:15:53 | 147,126,011 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2012.07.15 22:14:52 | 000,001,659 | ---- | M] () -- C:\Users\***\Desktop\Command Prompt.lnk
[2012.07.15 21:28:11 | 000,003,584 | ---- | M] () -- C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.07.15 10:13:26 | 000,255,816 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2012.07.14 13:00:32 | 000,000,983 | ---- | M] () -- C:\Users\***\Desktop\Kaspersky Internet Security 2011.lnk
[2012.07.14 11:39:17 | 000,115,369 | ---- | M] () -- C:\Windows\System32\drivers\klin.dat
[2012.07.14 11:39:17 | 000,097,961 | ---- | M] () -- C:\Windows\System32\drivers\klick.dat
[2012.07.13 19:43:09 | 000,001,543 | ---- | M] () -- C:\Users\Public\Desktop\1&1 Surf-Stick.lnk
[2012.07.13 19:18:23 | 000,001,037 | ---- | M] () -- C:\Users\Public\Desktop\OpenOffice.org 3.4.lnk
[2012.07.13 16:25:27 | 000,000,000 | -H-- | M] () -- C:\Windows\System32\drivers\Msft_User_WpdFs_01_00_00.Wdf
[2012.07.13 14:15:49 | 000,101,888 | ---- | M] (Infineon Technologies AG) -- C:\Windows\System32\ifxcardm.dll
[2012.07.13 14:15:47 | 000,082,432 | ---- | M] (Gemalto, Inc.) -- C:\Windows\System32\axaltocm.dll
[2012.07.13 14:06:52 | 000,196,608 | ---- | M] () -- C:\Windows\SPInstall.etl
[2012.07.13 13:16:59 | 000,001,820 | ---- | M] () -- C:\Windows\System32\rasctrnm.h
[2012.07.12 20:44:47 | 000,000,900 | ---- | M] () -- C:\Users\***\Desktop\Screenshot Captor.lnk
[2012.07.12 19:33:49 | 002,501,921 | ---- | M] () -- C:\Windows\System32\wlan.tmf
[2012.07.12 19:33:46 | 000,015,181 | ---- | M] () -- C:\Windows\System32\gatherWirelessInfo.vbs
[2012.07.11 12:21:35 | 000,000,230 | ---- | M] () -- C:\Users\***\Desktop\Control Panel.lnk
[2012.07.11 12:21:08 | 000,001,650 | ---- | M] () -- C:\Users\***\Desktop\System Information.lnk
[2012.07.11 12:20:56 | 000,001,674 | ---- | M] () -- C:\Users\***\Desktop\dfrgui.lnk
[2012.07.11 12:20:50 | 000,001,652 | ---- | M] () -- C:\Users\***\Desktop\Disk Cleanup.lnk
[2012.07.11 12:20:28 | 000,001,638 | ---- | M] () -- C:\Users\***\Desktop\Mobility Center.lnk
[2012.07.11 12:20:11 | 000,001,614 | ---- | M] () -- C:\Users\***\Desktop\Calculator.lnk
[2012.07.10 18:52:42 | 000,008,192 | R-S- | M] () -- C:\BOOTSECT.BAK
[2012.07.10 17:58:23 | 000,054,990 | ---- | M] () -- C:\Windows\System32\license.rtf
[2012.07.10 17:58:07 | 000,000,000 | -H-- | M] () -- C:\Windows\System32\drivers\UMDF\Msft_User_WpdFs_01_00_00.Wdf
[2012.07.03 13:46:44 | 000,022,344 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys

========== Files Created - No Company Name ==========

[2012.07.18 21:31:51 | 000,000,000 | ---- | C] () -- C:\Users\***\defogger_reenable
[2012.07.18 13:07:29 | 000,000,428 | ---- | C] () -- C:\Users\***\Desktop\Verein - Verknüpfung.lnk
[2012.07.18 13:03:40 | 000,000,279 | ---- | C] () -- C:\Users\***\Desktop\DATA (D) - Verknüpfung.lnk
[2012.07.18 08:55:29 | 000,001,638 | ---- | C] () -- C:\Users\Public\Desktop\PDF24 Fax.lnk
[2012.07.18 08:55:28 | 000,001,653 | ---- | C] () -- C:\Users\Public\Desktop\PDF24 Editor.lnk
[2012.07.17 17:51:56 | 000,000,000 | -H-- | C] () -- C:\Windows\System32\drivers\Msft_User_WpdFs_01_07_00.Wdf
[2012.07.17 13:44:16 | 000,000,906 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2012.07.17 12:15:53 | 147,126,011 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2012.07.17 12:05:55 | 000,201,184 | ---- | C] () -- C:\Windows\System32\winrm.vbs
[2012.07.17 12:05:55 | 000,004,675 | ---- | C] () -- C:\Windows\System32\wsmanconfig_schema.xml
[2012.07.17 12:05:55 | 000,002,426 | ---- | C] () -- C:\Windows\System32\WsmTxt.xsl
[2012.07.15 23:27:01 | 000,000,058 | ---- | C] () -- C:\Users\***\AppData\Local\DonationCoder_ScreenshotCaptor_InstallInfo.dat
[2012.07.15 22:14:52 | 000,001,659 | ---- | C] () -- C:\Users\***\Desktop\Command Prompt.lnk
[2012.07.15 21:28:07 | 000,003,584 | ---- | C] () -- C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.07.15 02:57:57 | 000,057,667 | ---- | C] () -- C:\Windows\System32\ieuinit.inf
[2012.07.14 13:00:32 | 000,000,983 | ---- | C] () -- C:\Users\***\Desktop\Kaspersky Internet Security 2011.lnk
[2012.07.13 22:22:18 | 000,115,369 | ---- | C] () -- C:\Windows\System32\drivers\klin.dat
[2012.07.13 22:22:18 | 000,097,961 | ---- | C] () -- C:\Windows\System32\drivers\klick.dat
[2012.07.13 19:43:02 | 000,001,543 | ---- | C] () -- C:\Users\Public\Desktop\1&1 Surf-Stick.lnk
[2012.07.13 19:33:16 | 000,000,557 | ---- | C] () -- C:\NetworkCfg.xml
[2012.07.13 19:18:23 | 000,001,037 | ---- | C] () -- C:\Users\Public\Desktop\OpenOffice.org 3.4.lnk
[2012.07.13 16:25:27 | 000,000,000 | -H-- | C] () -- C:\Windows\System32\drivers\Msft_User_WpdFs_01_00_00.Wdf
[2012.07.13 16:04:45 | 000,392,170 | ---- | C] () -- C:\Windows\System32\onex.tmf
[2012.07.13 16:04:44 | 000,009,212 | ---- | C] () -- C:\Windows\System32\RacUR.xml
[2012.07.13 16:04:44 | 000,000,153 | ---- | C] () -- C:\Windows\System32\RacUREx.xml
[2012.07.13 16:04:29 | 000,344,698 | ---- | C] () -- C:\Windows\System32\eaphost.tmf
[2012.07.13 16:04:28 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll
[2012.07.13 16:04:26 | 000,442,788 | ---- | C] () -- C:\Windows\System32\dot3.tmf
[2012.07.13 16:03:57 | 011,967,524 | ---- | C] () -- C:\Windows\System32\korwbrkr.lex
[2012.07.13 16:03:56 | 000,208,966 | ---- | C] () -- C:\Windows\System32\WFP.TMF
[2012.07.13 16:03:29 | 000,107,612 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2012.07.13 16:03:29 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2012.07.13 16:03:27 | 000,092,918 | ---- | C] () -- C:\Windows\System32\slmgr.vbs
[2012.07.13 16:03:26 | 000,009,239 | ---- | C] () -- C:\Windows\System32\spcinstrumentation.man
[2012.07.13 16:03:25 | 000,130,008 | ---- | C] () -- C:\Windows\System32\systemsf.ebd
[2012.07.13 13:32:40 | 000,000,003 | ---- | C] () -- C:\Windows\System32\drivers\MsftWdf_Kernel_01007_Inbox_Critical.Wdf
[2012.07.13 13:31:58 | 000,145,455 | ---- | C] () -- C:\Windows\System32\perfmon.msc
[2012.07.13 13:31:21 | 000,144,909 | ---- | C] () -- C:\Windows\System32\fsmgmt.msc
[2012.07.13 13:31:20 | 000,012,198 | ---- | C] () -- C:\Windows\System32\gatherWiredInfo.vbs
[2012.07.13 13:23:35 | 000,196,608 | ---- | C] () -- C:\Windows\SPInstall.etl
[2012.07.13 13:16:59 | 000,001,820 | ---- | C] () -- C:\Windows\System32\rasctrnm.h
[2012.07.12 20:44:47 | 000,000,900 | ---- | C] () -- C:\Users\***\Desktop\Screenshot Captor.lnk
[2012.07.12 20:38:03 | 000,002,425 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader X.lnk
[2012.07.12 19:33:49 | 002,501,921 | ---- | C] () -- C:\Windows\System32\wlan.tmf
[2012.07.12 19:33:46 | 000,015,181 | ---- | C] () -- C:\Windows\System32\gatherWirelessInfo.vbs
[2012.07.11 12:21:35 | 000,000,230 | ---- | C] () -- C:\Users\***\Desktop\Control Panel.lnk
[2012.07.11 12:21:08 | 000,001,650 | ---- | C] () -- C:\Users\***\Desktop\System Information.lnk
[2012.07.11 12:20:56 | 000,001,674 | ---- | C] () -- C:\Users\***\Desktop\dfrgui.lnk
[2012.07.11 12:20:50 | 000,001,652 | ---- | C] () -- C:\Users\***\Desktop\Disk Cleanup.lnk
[2012.07.11 12:20:28 | 000,001,638 | ---- | C] () -- C:\Users\***\Desktop\Mobility Center.lnk
[2012.07.11 12:20:11 | 000,001,614 | ---- | C] () -- C:\Users\***\Desktop\Calculator.lnk
[2012.07.10 18:52:42 | 000,008,192 | R-S- | C] () -- C:\BOOTSECT.BAK
[2012.07.10 18:52:41 | 000,333,257 | RHS- | C] () -- C:\bootmgr
[2012.07.10 18:06:21 | 000,000,949 | ---- | C] () -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
[2012.07.10 18:06:20 | 000,000,944 | ---- | C] () -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Media Player.lnk
[2012.07.10 18:06:10 | 000,000,915 | ---- | C] () -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Mail.lnk
[2012.07.10 18:06:07 | 000,000,680 | ---- | C] () -- C:\Users\***\AppData\Local\d3d9caps.dat
[2012.07.10 17:58:11 | 000,000,604 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Live.lnk
[2011.02.11 19:10:52 | 000,439,308 | ---- | C] () -- C:\Windows\System32\igcompkrng500.bin
[2011.02.11 19:10:50 | 000,982,240 | ---- | C] () -- C:\Windows\System32\igkrng500.bin
[2011.02.11 19:10:50 | 000,092,356 | ---- | C] () -- C:\Windows\System32\igfcg500m.bin
[2011.02.11 18:40:40 | 000,004,096 | ---- | C] ( ) -- C:\Windows\System32\IGFXDEVLib.dll
[2011.02.11 18:38:44 | 000,000,151 | ---- | C] () -- C:\Windows\System32\GfxUI.exe.config

========== LOP Check ==========

[2012.07.15 23:27:01 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\DonationCoder
[2012.07.13 19:19:45 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\OpenOffice.org
[2012.07.18 09:04:27 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\ScreenCapturePrint
[2012.07.18 21:21:48 | 000,021,990 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT

========== Purity Check ==========



< End of report >

Ja sicher besteht diese Möglichkeit!
Als wenn es so einfach wäre, Schädlinge zu entfernen!

Trotzdem bitte alle Logs von malwarebytes posten
Die Logs enthalten ein paar mehr Infos als nur Fund oder kein Fund.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Das mit deinem Partitionschaos kann ich nicht wirklich nachvollziehen, aber ist diese Liste deiner Partitionen vollständig? Alle Daten sind noch da?
Wenn ja, solltest du vllt jetzt erstmal ein Backup aller Daten machen und dann kann man in Ruhe analysieren

Vielen Dank, dass Du Dich der Sache angenommen hast! Bin schon ziemlich verzweifelt, weil ich einfach nicht herausfinden kann, woran es liegt, das Laptop aber dringend brauche.

Nein. Alles, was unter Partition C unter Benutzer gespeichert war, ist zerstört und lies sich nicht einmal mit Testdisk wieder herstellen. Ansonsten konnte ich mit Hilfe von Testdisk alles von C kopieren, was ich meinte zu brauchen. Nur alles unter Benutzer war nicht mehr aufzeigbar. Deshalb sind alle meine E-Mails weg.

Alle anderen, persönlichen Dateien (also Textdateien, Tabellen, Präsentationen etc.) hatte ich unter Partition D gespeichert. Die waren alle noch da. Partition D war offenbar von dem Ereignis nicht betroffen bzw. nur insofern, als sich die Partition nicht mehr aufrufen lies bzw. nicht ohne weiteres zu sehen war, da Partition C die Boot-Partition war. Wenn die zerschnetzelt ist, kommt man natürlich auch erst einmal nicht so ohne weiteres an D heran.

Partition C lies sich auch nicht reparieren und nicht einmal formatieren. Habe sie schließlich gelöscht, eine neue Partition C erstellt und auf diese alle Programme neu aufgeladen (zumindest die meisten, ein paar fehlen bislang noch).

Die alte Partition C lässt sich unter Testdisk weiterhin aufzeigen (dieses Programm zeigt ja sogar gelöschte Partitionen). Aber die Dateien unter Benutzer sind eben weiterhin nicht aufzeigbar, weil irgendwie kaputt oder weg.

Alle meine persönlichen Dateien sind aktuell gesichert. Die neuen E-Mails habe ich seit diesem Ereignis nicht mehr heruntergeladen, sondern bearbeite sie lieber direkt auf dem E-Mail-Server, bis die Probleme gelöst sind. Es kann also los gehen.

Hier sind die mbam-logs, zunächst die alte vom 17.7.:

Am selben Tag habe ich auch einen vollständigen Suchlauf durchgeführt:

Das ist die Datei von heute (Malwarebytes aktualisiert):

Am Abend des 21.7. habe ich Kaspersky Internet Security 2011 durch die neueste Version 2012 ersetzt. Vorsichtshalber poste ich gleich auch noch den Bericht von Kaspersky.

Was bedeutet es eigentlich, dass dauernd Hooks installiert werden? Notepad beispielsweise habe ich gar nicht verwendet :confused:

Viele Grüße, Carmen

Das befreit dich nicht von einem Backup! Wenn du die Mail per IMAP direkt bearbeitest und versehentlich etwas löscht sind sie auch weg!
Egal von welchem Bereich aus die Daten bearbeitest, was wichtig und wo du irgendwann mal wieder "zurück" musst, führt nichts an einem Backup vorbei!

Vllt konsultierst du mal dein Handbuch zu dieser Software?
Eine fette Internet Security hätte ich dir eh niemals empfohlen.

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Vielen Dank für Deine Mühe!

Von Malwarebytes habe ich 4 Scans:

- den Kurz-Scan vom 17.7.
- den Vollscan vom 17.7.
- den Kurz-Scan von 23.7.

(diese drei in meinem obigen Posting von 12:07 Uhr)

- und hier nun noch der Vollscan von heute Abend:

Und hier der Scan von Eset:

1 infizierten Thread hat Eset gefunden. Hoffentlich gibt das einen Hinweis darauf, weshalb sich die verflixte Kamera nicht ausschalten lässt!

Viele Grüße, Carmen

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Der Cleaner lief nur Sekunden. Hier das Ergebnis:

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Im Großen und Ganzen habe ich diesen Eindruck. Aber manchmal schaltet sich der Rechner unvermittelt aus, z.B. heute Nachmittag. Er war definitiv nicht heißgelaufen o.ä. und ich konnte auch sonst keinen Grund feststellen.

Stelle gerade fest, dass der Autostart-Ordner leer ist.

Und als ich mir die Autostart-Einstellungen ansehen wollte, musste ich nun feststellen, dass sich die Autostartprogramme auch nicht mehr verwalten lassen. Es erscheint die Fehlermeldung: "Fehler bei Anwendungsinitialisierung. 0x800106ba. Der Dienst dieses Programms wurde aufgrund eines Problems angehalten. Führen Sie zum Starten des Dienstes einen Neustart des Computers aus oder suchen Sie unter 'Hilfe und Support' Informationen zum manuellen Starten eines Dienstes."

Klickt man Windows-Defender an, erscheint dieselbe Meldung.

Das war nach der Neuinstallation der Programme noch anders. Ich habe nämlich einiges aus den Autostartprogrammen genommen, als ich die Programme neu aufgespielt hatte, damit das Laptop nicht so lange zum Starten braucht und diverse Programme lädt, die ich nicht womöglich nicht aktuell brauche und bei Bedarf ja auch später noch laden kann. Da waren nur noch die Windows-Startgeschichten und Kaspersky drin.

Und heute Nachmittag fiel mir auf, dass der Start wieder länger dauerte. Besonders lange dauerte es, bis Kaspersky geladen war - immerhin so lange, dass ich bis dahin bereits auf dem Kaspersky-Button herumklickte, den ich auf den Desktop gesetzt habe, weil ich dachte, mit dem Autostart des Programms sei etwas schiefgelaufen.

Da fragte ich mich natürlich, was nun wieder los ist. Aber ich bin momentan ohnehin diesem Gerät gegenüber äußerst misstrauisch und habe mich dann zufriedengegeben, als Kaspersky doch noch gestartet wurde.

Gerade bin ich also dem Vorschlag in der Fehlermeldung nachgegangen und habe den Rechner neu gestartet. Nein, die Autostartprogramme können weiterhin nicht angesehen werden (Windows-Defender dito). Aber der Start ging wieder schneller und auch Kaspersky wurde zügig geladen.

Aus den Autostartprogrammen rausgeschmissen habe ich beispielsweise den Datenstick, über den ich momentan das Internet nutze. Ich gehe - seit ich via Datenstick surfe - nur dann online, wenn ich das Internet tatsächlich nutze. Also muss ich beim Start des Rechners auch nicht erst auf das Laden des Stick-Programms warten.

Und so starre ich z.B. auch irritiert auf die in meinen Augen gigantischen Datenmengen, die über den Internet-Stick übertragen werden. Nun habe ich mich allerdings noch nie damit beschäftigt, wie viele Daten beim Betrachten normaler Websites übertragen werden. Ist es normal, dass seit 13.7. ca. 1,6 Terabyte Daten über den Stick liefen?

Natürlich habe ich auch einige Programme runtergeladen, weil ich ja Laufwerk C gelöscht, ein neues Laufwerk C erstellt und die jetzt darauf befindlichen Programme neu aufgeladen habe.

- Aber zum einen habe ich diese Programme zu einem guten Teil im Internetcafe auf CDs gebrannt und dann via CD auf den Rechner geladen, weil der Datenstick aufgrund Ausschöpfung der gebuchten Datenmenge sehr schnell nur noch im Zeitlupenmodus arbeitete und ich 40 oder mehr Stunden gebraucht hätte, um hundert MB runterzuladen.

- Zum anderen ist die Anzahl der Programme und die Gesamtmenge der Daten auf meinem Rechner sehr übersichtlich (siehe obige Scans).

Ich frage mich, welches Datenvolumen man denn da bloß buchen müsste, nur um täglich Nachrichten auf Onlineportalen von Zeitungen lesen und ein paar Beiträge in Foren u.ä. schreiben zu können (mehr mache ich momentan mit dem Stick nicht).

Ist das normal? Ich nutze den Stick noch nicht lange und habe mich vorher wenig für die jeweils übertragene Datenmenge interessiert.

Zunächst habe ich den Stick nur unterwegs benutzt (ein bis zwei Stunden täglich). Da gab es nie Schwierigkeiten mit der Datenmenge. Jetzt nutze ich ihn momentan zwar mehr. Aber die Kapazität ist bereits nach drei Tagen verbraucht. Und in der neuen Rechnungsperiode habe ich lediglich die von Dir hier verlinkten Programme runtergeladen.

Ergänzung:

Unter Systeminformationen lässt sich ein Blick in die Autostartprogramme werfen:

Skype habe ich erst nach der oben beschriebenen Bereinigung der Autostartprogramme wieder aufgeladen. Das könnte ich da auch noch rausschmeißen, wenn ich wieder drankomme. Und Malwarebytes hat sich da wohl auch nach der Installation reingemogelt. Das Übrige (außer Kaspersky und WelcomeCenter) sagt mir nichts.

Viele Grüße, Carmen

Könntest du dich bitte kurz fassen?
Du hast schon beim ersten Posting einen halben Roman geschrieben, das ist recht anstrengend wenn man hier sich durch so einen Haufen Text jedes Mal wühlen muss.
Im Prinzip ist es ja gut wenn so so detailiert wie möglich alles posten willst, aber bitte halte dich so kurz wie möglich - so viel wie nötig, so wenig wie möglich :rolleyes:

Sorry, gelobe Besserung! Wie kann es jetzt weitergehen?

Viele Grüße, Carmen

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hier ist der Scan:

OTL Logfile:
--- --- ---


Viele Grüße, Carmen

Wer bitte hat dich angewiesen Combofix auszuführen?
Warum hast du kein Wort darüber verloren und warum ist nicht das Log dazu gepostet worden?! :wtf:

http://www.trojaner-board.de/images/icons/icon4.gif Einen ganz klaren Hinweis gibt es auch zu http://www.trojaner-board.de/95175-combofix.html http://www.trojaner-board.de/images/icons/icon4.gif

Ich habe ComboFix nicht ohne Anweisung ausgeführt. Und ich habe das bislang nicht geschildert, weil andere Scans angefordert wurden und meine hier eingestellten Infos ohnehin schon so umfangreich (bzw. zu umfangreich) geworden sind.

:o Bitte bedenke, dass ich diesbezüglich Laie bin. Ich kann wirklich nicht beurteilen, welche Informationen für dich wichtig sind (sonst hätte ich das Log längst eingestellt!).

Wie kam ich nun dazu, ComboFix anzuwenden?

Als ich feststellte, dass sich die Kamera nicht abschalten lässt, auch bei deaktiviertem Treiber weiterläuft und KIS keine Schadsoftware finden konnte, habe ich mich als erstes an den Kaspersky-Support gewendet. Damals kannte ich das Forum hier ja noch gar nicht.

Erst als von dort nach einigen Tagen keine Antwort eingetroffen war, suchte ich nach einer anderen Möglichkeit und fand schließlich dieses Forum. Dann aber dauerte es auch mehrere Tage, bis sich hier jemand der Sache annehmen konnte.

In der Zwischenzeit kam dann doch noch eine Antwort von Kaspersky. Nun wusste ich wiederum umgekehrt nicht, ob letztlich hier im Forum jemand antworten möchte, und führte also die Anweisungen vom Kaspersky-Support aus.

Dabei wollte ich keine zwei parallel laufenden Supports haben. Und dazu kam es auch nicht. Gegebenenfalls hätte ich dich informiert, wenn der Kaspersky-Support an der Sache dran geblieben wäre.

Der Kaspersky-Support erhielt von mir gleich mit der Anfrage Infos, die mit einem Programm, das man sich dort herunterladen kann (GetSystemInfo), erstellt und mitgeschickt werden sollen. Vorsichtshalber stelle ich diese txt-Datei hier in den Anhang.

Als Code-Text kann ich den Inhalt dieser Datei hier nicht einstellen. Mein Rechner macht bei dem Versuch, den Text aus der Datei zu kopieren – warum auch immer – derartige Probleme, dass es ganz einfach unmöglich ist.

**************************

Ergänzung im Nachhinein:

Die Datei lässt sich leider auch nicht in den Anhang stellten. Sie habe fast 5 MB ist die Meldung, die ich erhalte. Eine reine Textdatei??? Nun, denn :confused: - sollte sie wichtig sein, sag es halt noch.

**************************

Die Anweisungen in der Antwort vom Kaspersky-Support lauteten:

Diese Anweisungen führte ich aus und schickte den Logtext von ComboFix am 21.7. an den Kaspersky-Support mit der Auskunft, dass die Kamera weiterhin läuft. Die Antwort lautete:

Damit ist die Akte bei Kaspersky wieder geschlossen.

Die Kamera aber schaltet sich erst an, während irgendwelche Programme einlaufen. Und der eigentliche Gerätetreiber ist – wie gesagt – deaktiviert. Insofern verspreche ich mir nichts davon, Fujitsu Siemens Computers zu befragen.

Umso mehr freue ich mich, dass du dich am 23.7. der Sache angenommen hast! Vielen, herzlichen Dank dafür!

Habe auch darüber nachgegrübelt, ob weitere Infos fehlen könnten. Weiß aber absolut nichts. Es gibt noch eine Log-Datei von Kavremover (auch aus der oben zitierten Anleitung von Kaspersky). Brauchst du die auch?

Hier ist das Log von ComboFix:

[Code]
Combofix Logfile:
--- --- ---


Viele Grüße, Carmen